我们有一个带有 SSL 的 Cisco CSM-S 内容交换机。目前我们的网站在这个开关后面,它为 HTTP 和 SSL 站点执行负载平衡。http 和 https 站点使用不同的主机名
*****
http://www.site.com=>* *==>主要服务器
* C *
* 小号 *
* 米 *
https://secure.site.com=>* *==>Ecom 服务器
*****
SSL 流量由 CSM 中的 SSL 子卡解密,然后根据 HTTP 主机名通过 URL 将流量路由到各种服务器。我想为非 ecom 安全页面的主站点添加 HTTPS 支持,但我的管理员说 CSM 无法以这种方式路由流量。这是我计划的配置:
*****
http://www.site.com=>* *=(http)=>主要服务器
https://www.site.com=>* C *
* 小号 *
* 米 *
https://secure.site.com=>* *=(http)=>Ecom 服务器(安全网络)
*****
按照我的理解,SSL 子卡应该在 HTTP 路由下的一层运行,因此主站点的安全和非安全页面都转到相同的内部服务器这一事实应该允许这种配置工作。
有谁知道 CSM-S 是否支持这种配置?如果是这样,我如何向我的管理员描述它需要如何设置?
如果 www.site.com 和 secure.site.com 解析为不同的 IP 地址,我看不出这会是什么问题。我们有一个非 SSL CSM,今天就这样做。CSM-S 为您提供的主要附加功能是对 SSL 数据包的可见性,以实现负载平衡和硬件 SSL 终止。
如果站点解析到相同的 IP 地址,那么您的管理员是正确的,这将是一个问题。这与尝试在没有 CSM-S 的情况下将这两个不同的 SSL 站点托管在单个 Web 服务器上没有任何不同。使用 HTTPS,服务器必须在客户端有机会告诉服务器它想要哪个站点之前协商 SSL。如果您有一个常规的单主机证书,并且服务器(或 CSM-S)必须为单个 IP 上的多个站点使用 SSL,它将无法知道向客户端提供哪个证书。
我知道有三种方法可以在单个 IP 上支持多个基于名称的 SSL 站点:
如果您还没有这样做,那么在不同的 IP 地址上运行 www.site.com 和 secure.site.com 可能是您最容易做的事情。如果 CSM-S 可以基于 Host: header 而不仅仅是 ip:port 进行负载平衡,那么更改为两个站点共享的 SAN 或通配符证书是另一种选择。
詹姆斯在我打字的时候发帖……偷我的风头=)
我会补充詹姆斯的评论:
例子:
相对
加